Boj s Emotetem aneb Jak se bránit v první linii

06. únor 2019 11:25 0 komentářů

Emotet je malware navržený tak, aby se vyhnul detekci, opevnil se a dále se šířil.

Díky častým a nepravidelným aktualizacím, modulárnímu i polymorfnímu designu a schopnosti využívat řadu různorodých technik pro procházení sítí, představuje tento software pro administrátory a bezpečnostní nástroje pohyblivý cíl, který se navíc neustále mění. Během své pětileté existence se Emotet vyvinul z trójského koně, který tiše kradl přístupy k bankovním účtům, do podoby velmi důmyslné a široce využívané platformy pro distribuci dalších typů malware. Často pak opět bankovních „Trojanů“.

Emotet se šíří na pozadí rozličných spamových kampaní a může s sebou přinést jakýkoli malware. V letošním roce se to zatím týkalo bankovních trojských koní TrickBot a QBot, nicméně Emotet byl spojen i se sofistikovaným ransomwarem BitPaymer, který na výkupném získal šestimístnou dolarovou částku. V červenci 2018 vydal americký úřad US-CERT (United States Computer Emergency Readiness Team) varování, ve kterém Emotet popsal jako “…jeden z nejdestruktivnějších a nejnákladnějších malwarů, které útočí na veřejnou správu. Jeho vlastnosti podobné červům umožňují rychlé šíření napříč sítí, což znesnadňuje boj s touto infekcí. V americkém veřejném sektoru dosahovaly náklady spojené s řešením jednoho bezpečnostního incidentu způsobeného tímto malwarem výše až milionu dolarů.” Emotet zůstává extrémně vážnou hrozbou a představuje jednu z nejnáročnějších výzev, kterým musí čelit systémoví administrátoři a lovci škodlivého software. Z tohoto důvodu jsme se ve spolupráci s Peterem Mackenzie, specialistou společnosti Sophos na problematiku malware, rozhodli připravit přehled tipů, které jsou účinnou pomocí v boji s touto hrozbou.

Zabezpečte všechny své stroje

Prevence je lepší než léčba. A jedním z nejúčinnějších preventivních kroků, které můžete udělat, je zajistit, aby se v rámci vaší podnikové informační architektury nenacházely žádné nezabezpečené počítače. Potvrzují to ostatně i slova Petera Mackenzieho – vždy, když dojde k napadení organizace Emotetem, je zdrojem infekce nějaké nechráněné zařízení připojené do sítě. Firmy často o těchto strojích ani nevědí, natož o tom, že by byly napadeny malwarem. Pomocí zdarma dostupného nástroje pro skenování síťové infrastruktury můžete získat seznam všech aktivních zařízení na síti a porovnat jej s výstupy z vaší bezpečnostní konzole. Pokud naleznete jakákoli neznámá zařízení, tak je co nejrychleji aktualizujte a vybavte je nejnovějším řešením pro ochranu koncových bodů.

Neznámé a nezabezpečené stroje představují také prostor, ve kterém se může Emotet ukrývat a přizpůsobovat – což celou situaci ještě zhoršuje. Ačkoli se zpočátku nachází pouze na nezabezpečených počítačích, bude se pokoušet rozšířit se do okolí. A protože jde o polymorfní malware, často se aktualizuje – někdy i několikrát za den – a velmi rychle se mění. Emotet tak neustále přináší nové výzvy. Čím delší dobu mu dovolíte toto dělat, tím větší bude riziko, že nějaká nová verze najde mezeru ve vaší ochraně a rozšíří se po síti.

Je nemožné předpovídat, co mu takovou mezeru umožní objevit – může to být nový exploit nebo třeba mutace, která Emotet dočasně skryje před antiviry využívajícími detekci pomocí signatur. Zásadním faktorem úspěchu v boji s touto hrozbou je proto skutečně důkladná ochrana. S nalezením zdroje nákazy i s její likvidací vám pomohou zejména pokročilé anti-malwarové techniky, jako je Deep Learning, prevence před zneužíváním exploitů nebo technologie pro detekci a reakci na útoky na koncové body (Endpoint Detection and Response, EDR).

Záplatujte často a co nejdříve

Emotet je bránou pro další malware, takže jeho zablokování znamená současně ochranu i před ostatními hrozbami, které přicházejí spolu s ním. Vzhledem k tomu, že nevíte, o jakou hrozbu přesně půjde, musíte přijmout ta nejlepší možná opatření. A v popředí seznamu těch nejvhodnějších – a seznam to může být poměrně dlouhý – by mělo být záplatování používaných systémů tak, aby byly odolné proti známým zranitelnostem.

Možná se tato rada jeví jako nejstarší bezpečnostní doporučení pod sluncem, nicméně má své opodstatnění. Realitou je, že právě v důsledku zanedbaných aktualizací se ohniska nákazy malwarem Emotet rozrůstají a je stále obtížnější jej zastavit. Příkladem toho, jak to celé funguje, může být EternalBlue – SMB exploit, který v roce 2017 proslavily ransomwary WannaCry a NotPetya. A ačkoli se to zdá neuvěřitelné, navzdory všem zprávám a takřka dva roky od vydání aktualizace zabezpečení společností Microsoft (MS17-010), která zajistila dostatečnou ochranu, přináší zneužívání tohoto exploitu stále ještě nějaký zisk. Příkladem takového malware je TrickBot, který je nejčastěji šířený právě prostřednictvím Emoteta. Nezapomínejte proto na záplaty a aktualizace.

Výchozí nastavení pro PowerShell? Zablokováno!

Emotet zahájí svoji cestu do podnikové informační architektury obvykle jako příloha elektronické pošty a scénář vzniku ohniska nákazy pak často vypadá následovně:

Uživatel obdrží e-mail s přiloženým dokumentem ve Wordu

Uživatel tento dokument otevře a pošetile povolí spuštění makra

Makro vyvolá skript v PowerShellu, který Emoteta stáhne do napadnutého počítače

A infekce začíná.

Je tedy jasné, že aby Emotet uspěl, musí uživatelé udělat špatně hned několik věcí. Finální rada by tak mohla znít „vysvětlete zaměstnancům, aby neotevírali podezřelé e-maily a nespouštěli makra“. Nezapomínejte ale, že jde o nikdy nekončící proces – stačí selhat jedinkrát. Přímočařejší a ze strany administrátorů snadněji zajistitelné opatření je zablokování přístupu k PowerShellu. Což neznamená zablokovat přístup naprosto všem uživatelům, protože někteří jej opravdu potřebují. Důležité je ale povolovat přístup k tomuto shellu pouze v prokazatelně oprávněných případech. Blokováním v tomto případě znamená opravdové znemožnění přístupu, nejen pouhé nastavení politik, které by PowerShell zakázaly. Bezpečnostní politiky mohou být deaktivovány, a proto by měl být PowerShell zařazený na seznam blokovaných aplikací (v případě technologií společnosti Sophos jde o funkci s názvem Application Control).

Michal Hebeda, Sales Engineer ve společnosti SOPHOS


Komentáře

RSS 

Komentujeme

Brexit a osobní data

Tomáš Jirásko , 17. únor 2019 06:30
Tomáš Jirásko

Blíží se Brexit přináší společnostem řadu komplikací a nejasností ohledně budoucnosti. Ať již dojde ...

Více







RSS 

Zprávičky

Německo je nakloněno účasti Huawei při budování sítí 5G

ČTK , 20. únor 2019 10:00

Německá vláda nyní nezávisle na kauze Huawei připravuje změny telekomunikačních zákonů. ...

Více 0 komentářů

Generální finanční ředitelství zrušilo tendr na daňový portál

ČTK , 20. únor 2019 09:00

Generální finanční ředitelství nyní pracuje na řešení, které neponese rizika soudních průtahů....

Více 0 komentářů

Aukce kmitočtů pro mobilní sítě láká investory z USA i Koreje

ČTK , 20. únor 2019 08:00

Češi platí podle analýzy Point Topic za 1 GB stažených dat přes mobilní sítě LTE nejvíce v Evropě....

Více 0 komentářů

Starší zprávičky

Představenstvo Seznam.cz opouští majitel a zakladatel firmy

Pavel Houser , 19. únor 2019 13:24

Ivo Lukačovič, majitel a zakladatel společnosti Seznam.cz, opouští pozici předsedy představenstva na...

Více 0 komentářů

Apple Pay přichází do ČR

ČTK , 19. únor 2019 13:02

Službu mohou využívat majitelé telefonů iPhone SE, iPhone 6 a novějších a hodinek Apple Watch....

Více 0 komentářů

Česko chce v Praze evropské středisko pro umělou inteligenci

ČTK , 19. únor 2019 09:00

EK plánuje na rozvoj technologií a průmyslu souvisejícího s umělou inteligencí v příštích 10 letech ...

Více 0 komentářů

ČTÚ spojí aukce kmitočtů 700 MHz a 3,5 GHz do jedné soutěže

ČTK , 19. únor 2019 08:00

Proti původnímu záměru ministerstvo vnitra nezíská část nabízených kmitočtů na vybudování vlastní sí...

Více 0 komentářů